Le RGPD impose au délégué à la protection des données (DPO) de faire « directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant ».
L’APD est attentive à ce point et demande parfois de démontrer que ce lien direct a bien lieu. Et ce d’autant que les DPO sont l’une des priorités transversales lors des contrôles de l’APD pour 2023.
Même si le RGPD n’exige pas que ce rapport au niveau le plus élevé de la direction soit fait par écrit, il est préférable de disposer d’une preuve écrite afin de démontrer la compliance.
Il peut s’agir d’un PV de conseil d’administration mentionnant la présence du DPO pour y faire rapport, ou encore d’un rapport écrit rédigé par le DPO, par exemple sur une base annuelle.
Quels éléments le dpo doit-il inclure dans son rapport ?
Ce rapport devrait permettre au DPO de démontrer qu’il remplit effectivement les obligations que lui impose le RGPD, et notamment qu’il contrôle le respect du RGPD et des règles internes par l’organisation dont il est le DPO.
Il nous semble donc important d’y aborder à tout le moins :
- Les avis rendus par le DPO, même de manière informelle, de manière à démontrer qu’il a bel été bien été associé à toutes les questions relatives à la protection des données à caractère personnel.
- Les nouveautés de l’année écoulée : nouveaux projets de l’organisation ayant un impact sur la protection des données, nouvelles recommandations de l’APD ou de l’EDPB importantes pour l’organisation…
- La mise à jour des documents : y a-t-il eu une actualisation du registre des traitements durant l’année écoulée, ou bien faut-il la prévoir dans les prochains mois ? Les analyses d’impacts doivent-elles être réévaluées ? Les clauses contractuelles types « ancien modèle » ont-elles bien été remplacées ? …
- Les actes de sensibilisation du personnel effectués et à prévoir (par exemple des tests de phishing).
- Les mesures techniques de sécurité prises ou conseillées, au vu de l’évolution de la technologie.
- Les requêtes des personnes concernées : nombre de demandes d’exercice de droit reçues, ainsi que le délai de traitement de ces demandes, les éventuels contrôles par coup de sonde effectués. Si le DPO estime que l’organisation ne dispose pas de suffisamment de ressources pour les traiter, ou rencontre des difficultés concrète dans ce traitement, il devrait formuler des recommandations.
- Les violations de données subies et leur suivi (notifications, enseignements tirés…)
- Les éventuelles plaintes ou procédures en cours devant l’Autorité de protection des données, et leur suivi.
- Un plan d’action : quelles actions sont en cours, quelles actions devraient l’être (par exemple un audit des sous-traitants) et quelles sont les priorités pour le futur. Cela peut permettre de démontrer a posteriori à l’APD que des démarches de mise en conformité ont bien été conseillées et/ou décidées, même si l’organisation n’a pas encore eu le temps ou les ressources pour les finaliser.
- Un point sur les ressources nécessaires pour exercer sa mission.
Notre conseil
Dresser annuellement un tel rapport permettra de démontrer si nécessaire la conformité de la mission du DPO, mais pas seulement.
Cet exercice mettra en lumière les faiblesses de compliance qui pourraient passer inaperçues ou être reléguées à plus tard, face à la charge de travail « day-to-day » du DPO. C’est ainsi l’occasion de solliciter les moyens nécessaires pour les accomplir !